陈英杰 李世武

摘要：由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击。提出基于安全环的技术，不仅从软件研发的生命周期保障了Web应用的安全，同时基于等级保护，从应用安全、安全建设管理及安全运维管理几个方面引入了对Web应用系统的一站式安全防护，Web应用系统从需求设计开始，到系统上线达到信息系统相应等级的保护能力，通过渗透测试、安全加固、定时巡检、实时监测、安全通告及攻击溯源形成安全环路提高Web应用系统的整体防护能力。

关键词：信息安全等级保护；Web应用；安全环；一站式；安全防范

中图分类号：TP393.08文献标志码：A文章编号：1008-1739（2019）06-69-4

0引言

据最新调查，信息安全有75%都发生在Web应用而非网络层面。根据CNCERT发布的《2017年我国互联网网络安全态势综述》，应用程序漏洞占比59.2%。为了防御Web应用安全风险，本文提出构建安全环，覆盖应用安全的整个生命周期，建立和使用可重复的流程和安全控制；同时基于等级保护，从网络安全、主机安全、应用安全、安全建设管理以及安全运维管理几个方面引入了对Web应用系统的一站式安全防护，从Web应用系统需求设计开始，到系统上线，使信息系统达到相应等级的保护能力，提高Web应用系统的整体防护能力。

1基于安全环保障Web应用安全

1.1软件安全需求和设计

软件安全需求和设计是开发Web应用系统的基础。不仅从用户的角度出发考虑系统的功能，同时从攻击者的角度出发考虑系统的漏洞。在风险分析的基础上，定性分析系统的脆弱点和可能遭受的安全威胁，同时对脆弱点和安全威胁进行定量分析。根据安全需求确定安全目标，对初步风险评估确定的控制措施具体技术实现进行安全设计。安全概要设计要考虑安全体系结构设计、各功能块间的处理流程、与其他功能的关系、安全协议设计以及安全接口设计等。详细设计阶段为安全功能的程序设计阶段。从软件的功能、API、接口、资源及数据存储等受攻击面的角度进行安全的设计。安全设计遵循最小特权、权限分离、最小共享、完全中立、心理可接受、默认故障处理、经济机制、不信任、纵深防御、保护最薄弱的环节、公开设计、隐私保护与攻击面最小化等原则，消除假冒、篡改、抵赖、信息泄露、拒绝服务和特权提升等威胁。

1.2软件安全实现保障Web应用安全

1.2.1严格遵循安全编码准则

严格遵循驗证输入、避免缓冲区溢出、程序内部安全、安全调用组件和禁用有风险的函数等通用安全准则，具体包括：验证输入包括命令行、环境变量、文件、网络和其他来源；在避免缓冲区溢出上，使用替代的安全函数或数据库，使用安全的变异环境，打开具有安全防御机制的安全编译选项，不在堆栈上执行代码；程序内部安全通过进行内部接口数据的检查，异常安全处理、最小化反馈、避免拒绝服务攻击、避免竞争条件以及安全使用临时文件等进行保障；安全调用组件主要从组件安全和返回值安全进行考虑，禁用有风险的函数，例如禁止使用s， _getws， _getts等函数。

1.2.2软件安全编译安全因素

在编译环境安全方面：使用最新版本编译器与支持工具、采用可靠的编译工具以及使用编译器内置防御特性；在运行环境的安全方面：将软件运行环境基于较新版本的系统。

1.2.3源代码安全测试在编码阶段找出可能存在的安全风险

在Web应用开发过程的编码阶段、测试阶段和交付验收阶段，对各阶段系统源代码进行安全审计，利用数据流分析引擎、语义分析引擎以及控制流分析引擎等技术，采用专业的源代码安全审计工具以及人工参与的方式对源代码安全问题进行分析、检测并验证，从而对源代码安全漏洞（注入缺陷及验证、跨站脚本漏洞、文件包含漏洞、命令执行漏洞、文件上传漏洞、应用程序编程接口错误、访问控制及密码失效、资源共享与竞争、异常处理、代码风格与质量、边界处理以及配置错误）进行定级，给出安全漏洞分析报告等，帮助软件开发的管理人员统计和分析当前阶段软件安全的风险、趋势，跟踪和定位软件安全漏洞，提供软件安全质量方面的真实状态信息。

1.3 Web应用运行时存在的安全漏洞

1.3.1漏洞扫描

对Web应用业务系统进行漏洞安全扫描，通过设备扫描以及人工验证的方式判断被扫描系统是否存在安全风险。扫描结果汇总成安全扫描报告和漏洞管理台账，在完成漏洞整改后对整改结果进行设备扫描与人工验证确认并形成漏洞修复情况复扫报告。漏洞扫描从风险发现，到漏洞确认、漏洞修复，最后至漏洞管理形成一个闭环，降低各种事件带来的损失和风险。

1.3.2渗透测试

由专业安全人员模拟入侵者的常见手段对Web应用程序发起模拟入侵过程，高强度的检测Web应用程序安全漏洞，并提供安全漏洞修补建议。渗透测试包括身份认证测试、授权管理测试、数据验证测试、可用性测试、配置管理测试和后门测试。身份认证测试，检查是否满足安全设计要求中的身份认证要求，检查是否存在密码被破解、登录被回放、登录被绕过的缺陷，确保登录验证安全有效。授权管理测试，检查该页面是否满足安全设计要求中的访问控制要求，检查用户在未授权的情况下是否成功办理需要授权的业务。数据验证测试，检查是否满足安全设计要求中输入验证的要求，确保应用系统正常显示业务办理信息。可用性测试，检查系统是否存在帐号锁定设计缺陷及应用拒绝服务缺陷。配置管理测试，检查存在中间件配置缺陷导致的应用系统漏洞。后门测试，检查应用系统各页面是否存在后门程序。

1.4软件开发的整个过程进行安全培训

在软件开发整个过程中，都要对开发人员进行安全培训。培训内容包括：对环境、网络、代码、文档等方面的管理、配置管理、安全设计、安全编程以及安全测试等。

2 Web应用一站式安全防范

针对Web应用的安全防护，基于安全实践，围绕Web应用生命周期，从建设开始，基于等级保护进行安全建设，经过安全测试上线后进行等级测评工作，辅以日常运维（配置核查、安全加固与安全巡检）、监测审计（信息通报、态势感知与实施监测）等安全服务形式，以安全环的角度提供一站式安全服务，实现Web应用业务安全目标。

2.1等级测评

Web应用安全建设管理，涵盖了软件安全需求和设计、软件安全实现、软件安全保障以及软件开发过程的培训，覆盖Web应用的整个生命周期，必须按照信息安全等级保护的要求，从物理安全、网络安全、主机安全、应用安全、数据安全和安全管理方面进行合规性检查。

2.2配置核查

对于Web应用系统从身份认证、授权管理和责任认定3个方面对应用系统进行检查并加固。在身份认证方面一般都应用数字证书，利用秘钥和口令2种鉴别因子。在授权管理方面，采用三权分立方式，依据安全策略控制，用户对文件、数据库表等客体访问的同时，限制默认帐户的访问权限，使授权用户具有最小权限并设置敏感标志。责任认定方面，建立审计系统，同时引入数字签名技术，保证用户操作行为的不可抵赖性。引入数据加密技术对数据表中的敏感数据进行加密，防止数据库系统管理员非法修改数据，保证数据的完整性和保密性。同时建议搭建Web应用防火墙对应用系统进行保护，更好地防止跨站脚本攻击、SQL注入、缓冲区溢出以及拒绝服务攻击等Web应用的攻击，具体配置核查指标项参照等级保护应用安全测评项。

2.3安全加固

安全加固分为主机系统安全加固、安全通信机制、业务系统安全、安全监控和管理以及安全访问控制。其中，业务系统安全加固不仅针对安全建设中软件安全测试发现的安全漏洞进行加固，同时需要按照等级保护要求中应用安全的合规性进行加固，在满足安全基线要求基础上通过采用优化配置、调整安全策略、安装补丁及安装安全软件等方式，在尽量不影响修补加固对象原有功能和性能的基础上，解决在渗透测试中发现的安全问题，修补其中存在的漏洞，保证Web应用不存在高风险和中风险漏洞，同时针对控制点中的测评项不符合和部分符合项进行修改，实现Web应用加固。

2.4态势感知

以系统日志、网络流量等为抓手，建立态势感知平台，实时捕获异常，进行安全事件的跟踪与分析，动态感知和网络攻击可视化，真正做到安全防护的深度发现，给出准确有效的防护建议。通过分析网络攻击日志、网络流量和事件响应实现攻击主机溯源、攻击者溯源以及攻击组织机构溯源并进行有效的防护，具体技术参数如表1所示。

2.5安全巡檢

通过对Web应用系统的安全运行情况进行定期巡检，包括Web应用系统所在操作系统巡检和Web应用系统巡检。了解当前Web应用系统和服务器的安全状况，并对安全问题进行处理，具体巡检内容如表2所示。

2.6安全通告

信息安全通告预警服务通过及时通告最新的信息安全发展动态，提供第一时间的安全预警，对Web应用进行补丁升级和配置加固，防患于未然。通告内容包括主机安全（涵盖系统漏洞安全通告：操作系统和数据库、病毒预警安全通告）、应用安全（应用漏洞安全通告、Web应用安全预警）。其中Web应用程序的漏洞除安全编码存在问题外，目前主要集中在应用开发框架、开发语言、CMS程序、Web组件、Web容器及版本控制系统等方面，一旦发现问题，及时升级修补和更改配置，保证Web应用安全。

2.7实时监测

24 h Web应用实时安全监测包括安全漏洞监测（SQL注入、XSS漏洞、CSRF漏洞、CGI漏洞、Web漏洞）和安全事件监测（网页木马、暗链）与可用性监测，用户无需干预即可实现对Web应用的周期化、自动化安全监测、网络安全专家定期对被监测Web应用中的风险状态进行汇总分析并提交报告，对B/S架构的Web系统提供安全事件的主动监控服务，通过预警系统和事件监控运维人员7*24 h的配合，及时监测到Web应用出现的最新安全事件，使得客户及时处理发生的安全事件，降低各种事件带来的损失和风险。具体内容包括Web应用访问不可达事件监测、Web应用篡改事件监测、Web应用挂马病毒事件监测、Web应用暗链事件监测、被黑统计信息事件监测、24 h Web应用攻击事件监测和溯源。

3结束语

根据当前信息安全事件，网络攻击逐渐从对网络服务器的攻击逐步转移到了对Web应用的攻击上。本文基于安全环，覆盖Web应用的整个生命周期，同时基于等保思想，从应用安全、安全建设管理、安全运维管理几个方面引入了对Web应用系统的一站式安全防护，在信息系统达到相应等级的保护能力基础上，通过渗透测试、安全加固、定时巡检、实时监测、安全通告、攻击溯源形成安全环路，提高Web应用系统的整体防护能力。

参考文献

[1]许晓冯.Web应用系统的安全威胁及其防护[J].江苏：信息化研究，2009，35（12）：1-3.

[2]李冬冬.基于等级保护思想的信息平台安全研究与实现[J].网络安全技术与应用，2015（5）：75，79.

[3]周超.基于等级保护制度的网络信息安全保障研究与实践[J].上海信息化，2014（12）：58-60.

[4]吴兰.Web应用系统的渗透测试研究[J].电脑编程技巧与维护，2013（12）：111-112.